spring - Spring何时发送回XSRF-TOKEN set-cookie响应头？ - Thinbug

Spring何时发送回XSRF-TOKEN set-cookie响应头？

时间：2017-06-20 20:03:48

标签： spring spring-security csrf x-xsrf-token

标题总结得很好。我要求满足应该满足的条件，因此Spring决定发送回X-XSRF-TOKEN响应标头。

我可以看到我的很多请求都是在不需要的情况下使用这样的标题回复响应。例如，当我发送GET请求时，即使我为请求设置了document.getElementById("#<%=prftdiv.ClientID%>").style='display:block'，它也会获得带有该标头集的响应。但对于具有上述请求标头的POST请求，将阻止Spring发回set-cookie标头。所以我想知道应该满足的条件是什么，所以Spring决定寄回一个。

1 个答案:

答案 0 :(得分：1)

我花了一些时间跟踪Spring Security的源代码，我自己找到了答案。

首先，我不知道CSRF是如何工作的，跟踪代码有助于我完全理解它。我认为这是值得了解的事情。这是从CSRF角度发送和接收的请求和响应的场景：

第一个请求被发送到服务器。由于它是第一个，因此没有设置cookie或标题。
无论请求的方法如何，服务器（在此处为Spring Security）都会查看传入的请求。如果没有以名称XSRF-TOKEN发送到服务器的cookie，它将在回复的路上生成一个SET COOKIE标题。
客户端收到cookie，对于第二个请求，它将在名称X-XSRF-TOKEN下为请求添加一个标头，设置为与收到的cookie相同的值。当然，cookie会自动发送到服务器并带有第二个请求。
当服务器收到第二个请求时，这次它有一个XSRF-TOKEN cookie，因此它将查找X-XSRF-TOKEN标头，只有当这两个字符串匹配时才认为该请求有效。 /强>

至于我的问题的答案，正如我在第二步中提到的，如果没有向服务器发送cookie（带有XSRF-TOKEN名称），则会生成cookie。它不依赖任何其他因素 - 所以永远！

相关问题

/ oauth / token

JavaScript客户端无法使用Spring设置的XSRF令牌读取cookie

是否必须通过cookie对XSRF-TOKEN进行实例化并通过标头发送？

XSRF - 如何设置跨源cookie

如何在koa2应用程序中设置XSRF-TOKEN cookie？

Spring何时发送回XSRF-TOKEN set-cookie响应头？

Angular 5 xsrf-token cookie和x-xsrf-header不相同

Spring Lemon：缺少响应头Set-Cookie和X-XSRF-TOKEN

Spring Boot Security在响应标头Cookie中添加了2个XSRF-TOKEN

Spring Security CSRF保护不接受标头或cookie（X-XSRF令牌）

最新问题

我写了这段代码，但我无法理解我的错误

我无法从一个代码实例的列表中删除 None 值，但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场？

是否有可能使 loadstring 不可能等于打印？卢阿

java中的random.expovariate()

Appscript 通过会议在 Google 日历中发送电子邮件和创建活动

为什么我的 Onclick 箭头功能在 React 中不起作用？

在此代码中是否有使用“this”的替代方法？

在 SQL Server 和 PostgreSQL 上查询，我如何从第一个表获得第二个表的可视化

每千个数字得到

更新了城市边界 KML 文件的来源？